File System Auditor部署

FileSystemAuditor部署（监控文件与文件夹）撰写本文源于这样一件事情：本校建有校园局域网，在一台域控制器上设置了共享文件夹，文件夹下面建有每个教师的子文件夹，老师可以将自己的文件放置在里面，方便共享。管理员设置的默认的权限是所有的教师账号无权删除所建立的教师子文件夹，但是如果进入到子文件夹里面，可以删除里面的文件和文件夹。因为使用域的管理方式，为所有的教师建立了域账号，该账号用于访问共享文件夹。也有一些用户提出了特殊的要求，希望只有自己能删除自己文件夹里的文件或者文件夹，其它用户则没有这样的权利，只对几个用户作了这样的设置，大多数教师保持默认设置。前两个星期，学校叫所有教师写个感想，然后放到制定的文件夹中，由于那个用户的文件夹保持了默认权限，结果存放感想文件的文件夹结果被谁删除了。由于从共享文件夹删除文件是不走本地回收站的，所以文件夹也就没有了。发生这样的事情之后，领导就问有没有办法知道是谁删除的。但由于服务器当时并没有作这样的设置，因此无法查出结果。先前也知道Windows操作系统也提供了相关的功能，经过一番设置能实现一定的效果，但是显示的事件日志不是很友好，在网上查找了一下很多人也觉得系统自身的功能不太让人满意。于是决定上网搜索一下看有没有更好地软件可以实现更强大的功能，嘿嘿，还真找到一个。今天要介绍的主角就是“FileSystemAuditor”，功能很好很强大。下面就为大家介绍一下FileSystemAuditor详细的部署和应用过程。OK，教程开始！先说明一下安装环境：①需要.NET环境支持。②最好有域环境，并为每个用户建立一个域账号。1、安装FileSystemAuditor需要以下文件，其中第一个文件是我在官方网站上下载的，我下载的时候最新版本是2.0.8的，第二个是我在网上找到的，还算比较好找，迅雷就能下载到，最后一个文件是破解程序。2、先安装第二个文件。3、根据向导操作，均按默认操作，最后点击“Finish”结束安装。4、运行第三个破解软件5、输入相关注册信息。6、注意看下图“Status”的地方，显示破解成功。7、然后进入控制面板，打开添加删除程序窗口，找到“FileSystemAuditor–ConsoleSetup”项目，将其删除掉。8、开始删除，点击“是”按钮。9、双击第一个文件，开始安装。10、单击“Next”。11、安装正在进行。12、安装完成。13、在开始菜单中找到“FileSystemAuditor2”文件夹下面的“AgentConfigurationConsole”，单击打开。14、启动程序时显示刚才破解时的授权信息。单击“OK“按钮。15、程序启动后，单击红线圈出的位置，启动数据库向导。16、显示数据库向导欢迎界面。17、默认选择第一项，创建新的数据库，然后单击“Next”按钮。18、在出现的新窗口中，在SQLServerInstance填写SQL数据库实例的名称，如果不知道也可以通过单击后面的按钮进行选择，比如，我选择的是VMWARE01的数据库实例。下面的DatabaseName是数据库的名称，取默认值即可，一般不用修改。下面的两个单选框是sql数据库的认证方式，上面的是使用Windows认证，下面的是使用sql认证方式。这个主要根据你安装sql数据库所采用的认证方式进行选择。19、上面的图选项设置好后单击next按钮，出现下图：两个50是数据库文件和日志文件的初始大小。右边的是关于安全组的形式。创建默认的安全组有三个选项：①LocalGroup(NonDC）本地组，适用于没有域的环境；②Global适用于域环境，并有多台服务器的情况下，提供全局的安全组；③DomainLocal本地域，适用于本地域环境。在这里我选择了第二项Global。备注：其实对于后两项，我的理解也还不是很透彻，以上只是我个人的一些理解。20、下图画红线的地方，可以勾选，手工指定数据库文件和日志文件的路径。21、设置好后，单击next按钮，开始创建数据库。22、创建数据库成功。23、创建数据库成功后，关闭创建数据库向导窗口。单击下图红线位置其中之一，添加文件服务器。24、在弹出的窗口中填写服务器的名称或者单击红线位置。25、弹出选择计算机的窗口，找到需要监控的计算机。26、这里选择了一台计算机。27、单击OK按钮后弹出下面的窗口，选择是按钮。28、又弹出一个窗口，继续单击是按钮。备注：对于上面两个窗口的具体意思我还不是十分清楚，好像就是将一些默认的进程包含进刚创建的要监控的服务器当中。29、这是刚才上面两个弹出窗口选择是之后的结果。30、文件夹服务器添加好之后还不可以使用，通过状态可以发现，服务都还没有安装。还要做一些设置才可以使用。31、在窗口右侧添加好的服务器上单击右键，选择installagent项目。32、弹出如下窗口，选择sql实例名称，然后选择前面建好的数据库，设置认证方式，这里我采用了sql认证方式，填写用户名sa，并填写密码。单击OK按钮。33、这里显示提示信息，如果确认没有问题，单击是按钮。34、稍等片刻之后，引擎安装成功35、这时再看状态，和刚才不一样了，说明服务已经安装成功。36、切换到pathfilters选项卡，单击添加按钮，添加要监控的文件夹。37、添加好文件夹后，还可以添加要监视的文件类型，或者排除的文件类型。对于要监控的事件可以取默认设置。默认是监控文件与文件夹的所有操作。38、这里我添加了三种文件类型，除了这三种之外，不监控其它文件夹类型。39、单击OK按钮后，显示如下。40、在开始菜单中找到红线选项，打开程序。41、程序启动后，显示如下窗口。42、然后到被监控的文件夹下新建几个文件，并改名试试。也可以删除。文件类型可以多选几个。我们看到扩展名为txt的操作被记录下来，包括创建、改名、删除、移动等操作。而其它的文件类型，比如zip、bmp等类型并没有记录。43、在开始菜单中找到ReportConfigurationConsole程序，启动该程序，选择如下图所示部分，创建一个新的报表。44、根据下图所示进行设置。和前面的有些操作类似。45、我选的是sql认证方式，需要输入用户名和密码。46、报表建好之后，默认显示最近1小时的所有操作，因为我最近1小时没有操作，所以没有记录。47、我们将时间调整一下，显示最近2小时的操作，这时出现了记录。48、我们还可以对事件进行筛选，比如只选择删除事件，这样只显示谁删除了文件。49、我们看到如下记录，只显示删除的文件。50、还可以将结果导出为文件。通过上面的一番设置，被监控的文件夹就一切尽在掌握之中，所有用户的操作一目了然。只要告诉用户，今后他们操作就会小心了，不会也不敢再乱删除别人的文件了。